¿Cómo evita ProcessBuilder la inyección de comandos del sistema operativo?

1

aunque entiendo que la inyección de comandos del sistema operativo debe tener la entrada no confiable para validarse, veo que la gente ha sugerido utilizar ProcessBuilder(...).start() sobre Runtime.getRuntime().exec(..) ; ¿Esto se debe a que ProcessBuilder no toma el comando para ejecutarse como una sola cadena?

    
pregunta Tech Junkie 02.02.2018 - 09:50
fuente

1 respuesta

0

Superé esta vulnerabilidad utilizando el método executeSystemCommand de ESAPI que parece estar usando ProcessorBuilder internamente después de validar la entrada.

    
respondido por el Tech Junkie 16.03.2018 - 18:48
fuente

Lea otras preguntas en las etiquetas